当前位置：首页 > news >正文

IDS入侵检测系统分为两大类。

news 2026/2/10 17:24:21

一、基于签名的IDS和基于异常的IDS。

基于签名的Ids主要依赖于已知的攻击模式库来检测入侵行为，适用于检测已知的攻击模式。

基于异常的Ids则关注网络流量的行为特征，通过分析数据包之间的关系和统计模型来判断是否存在异常行为，更适用于检测未知的攻击模式。

二、主机型入侵检测系统和网络型入侵检测系统。

主机型入侵检测系统Hides一般部署在下述4种情况下。

1.网络带宽太高无法进行网络监控。

2.网络带宽太低不能承受网络IDS的开销。

3.网络环境是高度交换且交换机上没有镜像端口。

4.不需要广泛的入侵检测。

HIDS往往以系统日志、应用程序作为数据源，检测主机上的命令序列比检测网络流更简单，系统的复杂性也少的多，所以主机检测系统误报率比网络入侵检测系统的误报率更低。

它除了检测自身的主机以外，根本不检测网络上的情况，而且对入侵行为分析的工作量将随着主机数量的增加而增加。

因此全面部署主机入侵检测系统代价比较大，企业很难将所有主机用主机入侵检测系统保护，只能选择部分主机进行保护。

那些未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可利用这些机器达到攻击的目的。依赖于服务器固有的日志和监视能力。如果服务器上没有配置日志功能则必须重新配置，这将给运行中的业务系统带来不可预见的性能影响。

NIDS也就是网络型入侵检测系统，一般部署在比较重要的网段内，它不需要改变主机等配置。由于它不会在网络系统中的主机中额外安装软件，从而不会影响这些主机的CPU、 I/O与磁盘等资源的使用，不会影响业务系统性能。

HIDS的数据源是网络上的数据包，通过线路窃听的手段对捕获的网络进行分组处理，从中获取有用的信息，一个网段上只需安装一个或几个这样的系统便可以检测整个网络的情况，比较容易实现，由于现在网络的日趋复杂和高速网络的普及，这种结构正接受着越来越大的挑战。

IDS入侵检测系统分为两大类。

相关文章：

IDS入侵检测系统分为两大类。

为什么元素显示的样式跟我设置的不一样？CSS优先级详解

C语言动态内存的管理

CASIA数据集转png HWDB2.0-2.2

学习或复习电路的game推荐：nandgame(NAND与非门游戏)、Turing_Complete(图灵完备)

前端面试题《react》

快速入门Kotlin③类与对象

RUST：Arc (Atomic Reference Counted) 原子引用计数

从0写一个问卷调查APP的第13天-1

20.Python从入门到精通—参数位置参数关键字参数默认参数匿名函数 return 语句强制位置参数

Python爬虫之requests库

鱼塘钓鱼(多路归并）

java每日一题——买啤酒(递归经典问题)

最近接到一个大项目，给公司设计抢商品代金劵业务

防火墙（讲解）

Python之装饰器-带参装饰器

抖音IP属地怎么更改

Flutter 全局控制底部导航栏和自定义导航栏的方法

检索增强生成（RAG）技术：实现流程、作用及应用案例

Ubuntu安装和使用

Vim 调用外部命令学习笔记

【Linux】shell脚本忽略错误继续执行

黑马Mybatis

渗透实战PortSwigger靶场-XSS Lab 14：大多数标签和属性被阻止

YSYX学习记录（八）

五年级数学知识边界总结思考-下册

ArcGIS Pro制作水平横向图例+多级标注

FFmpeg：Windows系统小白安装及其使用

django blank 与 null的区别

从“安全密码”到测试体系：Gitee Test 赋能关键领域软件质量保障